Il firewall: una barriera per la

Slides:



Advertisements
Presentazioni simili
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Advertisements

00 AN 1 Firewall Protezione tramite firewall.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Table View. Problemi ricorrenti Una situazione ricorrente è quella in cui il controller potrebbe avere un’altezza superiore a quella dello schermo. In.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
“Non c’è nessun buon motivo per il quale ogni persona nel mondo debba possedere un computer”- Kenneth Henry Olsen. (una delle frasi più sbagliate nella.
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.
PGDay 2009 FSGateway Ing. Torello Querci Resp. Architetture SW - Negens S.r.l. 4 Dicembre 2009, Pisa.
Informatica e processi aziendali
Basi di dati - Fondamenti
FIREWALL: una difesa sicura
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Virtual Private Networks
Configurazione Router IR794- IG601
Synapse Gestione e Flussi documentali
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
Reti di comunicazione Appunti.
TCP/IP.
CARATTERISTICHE DI UN DATACENTER
FireWall A cura di:IVX A.Volta-Napoli Marco Calì Dario Minutolo
Reti di comunicazione Appunti.
Applicazione web basata su web service e web socket
TCP/IP. Sommario  Introduzione al TCP/IP  Indirizzi IP  Subnet Mask  Frame IP  Meccanismi di comunicazione tra reti diverse  Classi di indirizzi.
La piattaforma di servizi unificati
Microcontrollori e microprocessori
GridFlex: gestione di software
GPT Vs. MBR Vantaggi introdotti dalla formattazione con la tabella delle partizioni GPT.
Reti di comunicazione Appunti.
Amministrazione dei servizi di stampa
SODDISFARE LE OPPORTUNITÀ DI MARKETING
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
I BUS È un insieme di fili conduttori che permette il passaggio di dati tra le varie periferiche del pc.
modulo 6 Prof. Salvatore Rosta
analizzatore di protocollo
SUBNETTING E SUPERNETTING
Internet.
Recupero polizze assicurative
Corso di Ingegneria del Web A A Domenico Rosaci 1
MODULO 1 – Computer essentials
Organizzazione di una rete Windows 2000
Caratteristiche e funzioni della scheda Arduino
INTERNET «IL MONDO DI OGGI»
Smart City.
Basi di dati - Fondamenti
Classificazione delle reti per tecnica di commutazione
Posta Elettronica Certificata
COME PROTEGGERSI Ing. Massimiliano Zuffi
STAT-RI WEB OPERATIVI.
Concetti introduttivi
© 2007 SEI-Società Editrice Internazionale, Apogeo
Commercialisti & Revisori
Firewalling.
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
Corso base per Operatori di Protezione Civile
Il giornalista del futuro
Il Livello di Trasporto
IT SECURITY Controllo di accesso
IT SECURITY Sicurezza in rete
RETI.
CLOUD.
Transcript della presentazione:

Il firewall: una barriera per la difesa della rete aziendale

Connettere la propria rete locale a Internet è un' operazione rischiosa: sono presenti virus e minacce provenienti da Internet. Gli attacchi di tipo DDos che in passato hanno preoccupato i siti di aziende del calibro di Amazon oppure Yahoo! dimostrano che nessuno può sentirsi sicuro. Le imprese necessitano di forme di PROTEZIONE scalabili e adattabili alle nuove sfide che si presentano nel campo della sicurezza.

Server proxy Packet filter I FIREWALL ("parete tagliafuoco") sono gli strumenti più adatti a offrire una difesa. E’ un sistema di componenti hardware, software, oppure una combinazione di entrambi gli elementi, che si interpone tra la rete locale e Internet e tiene sotto controllo il traffico che si sviluppa tra i due network; è basato su politiche di sicurezza che possono essere configurate a seconda delle esigenze. I firewall possono essere: Server proxy Packet filter

PACKET FILTER Un packet filter ispeziona solo le informazioni presenti nelle intestazioni e consente ai pacchetti di passare attraverso il firewall solo se non violano le regole impostate.

Un PACKET FILTER esamina gli indirizzi Ip sorgente e destinazione nel segmento del pacchetto di rete chiamato header. Confrontando queste informazioni con un elenco di regole (access-control-list) il packet filter decide se accettare o no i pacchetti. Le regole possono specificare se un pacchetto destinato a/proveniente da un indirizzo debba essere rifiutato o meno, oppure possono servire per autorizzare o no comunicazioni sulla base del numero di porta associato a un servizio.

DIFETTO: I i firewall basati sul packet filtering hanno un difetto: autorizzano o bloccano il traffico esaminando solo le intestazioni dei pacchetti e non i dati contenuti. Ma non tutti i pacchetti sono quello che sembrano: i potenziali aggressori hanno infatti a disposizione diversi tool atti a creare pacchetti in apparenza "normali " ma in grado di sfruttare bug e difetti riconosciuti delle più comuni applicazioni di rete.

PROXY SERVER Un proxy server non consente a un pacchetto di viaggiare tra la rete interna e Internet, crea al contrario un nuovo pacchetto che invia su Internet e si comporta allo stesso modo del pacchetto ricevuto in risposta.

Sui SERVER PROXY, girano routine che intercettano le richieste di comunicazione effettuate dalle applicazioni e destinate a Internet. Il programma proxy si inserisce nella trasmissione, effettua la richiesta utilizzando il proprio indirizzo Ip e valutando in seguito i dati ottenuti in risposta, non esamina semplicemente le intestazioni dei pacchetti di rete, ma anche i contenuti degli stessi. Un application proxy agisce da intermediario in una comunicazione tra due nodi ospiti (host).

Il proxy server ha DUE ADATTATORI di rete: uno connesso alla rete locale e l'altro a Internet. I pacchetti vengono ricevuti su un adattatore ed esaminati: se il pacchetto è una richiesta in uscita dalla rete locale e diretta verso Internet, il proxy verificherà che contenga comandi o dati validi…

In caso affermativo, il proxy creerà un altro pacchetto usando il proprio indirizzo di rete come sorgente e inoltrerà egli stesso la richiesta al posto del client. Quando viene ricevuta la risposta da Internet, il proxy esaminerà il segmento dati del pacchetto per vedere che contenga una risposta alla richiesta inoltrata. Se i dati o i comandi in esso contenuti fossero sospetti il proxy scarterebbe il pacchetto, in caso contrario, creerà un nuovo pacchetto, di nuovo utilizzando li proprio indirizzo sorgente, e restituendo il risultato al client posto sulla rete interna.

DIFETTO: Affinchè le applicazioni di rete funzionino deve essere segnalato ai client che l'accesso a Internet è sorvegliato da un proxy. Il proxy server deve poter comprendere il protocollo di comunicazione usato da ogni servizio che lo deve attraversare, così da poter scartare i pacchetti sospetti: nelle tante applicazioni Internet utilizzate, è facile che qualcuna non supporti I'attraversamento di un application proxy oppure che il proxy non sia in grado di comprendere il protocollo utilizzato.

STATEFUL INISPECTION: Alcuni firewall utilizzano un metodo chiamato stateful inispection: quando un utente invia una richiesta a un server Internet, il firewall crea un'entry in una tabella per ricordarsi dell'invio della richiesta. Se si riceve risposta, Il firewall consulterà la propria tabella per determinare se essa sia una risposta a una richiesta precedentemente inoltrata o meno. In caso negativo, il firewall rileverà un pacchetto sospetto che verrà scartato, e generalmente provvederà a registrare l'evento nel log.

I firewall moderni forniscono molte altre funzionalità: CONTENT RESTRICTION: la capacità di impedire l'accesso alle risorse esterne a seconda dei contenuti delle stesse. Le politiche di restrizione dei contenuti possono essere utilizzate per impedire che richieste provenienti da o dirette verso determinati siti passino attraverso il firewall. CONTENT CACHING: la capacità da parte del firewall di rispondere alle richieste provenienti dai client della rete locale utilizzando una copia locale dei dati ed evitando di inoltrare la richiesta su Internet. NETWORK ADDRESS TRANSLATION: la capacità del server di connettere a Internet una rete locale che utilizza uno spazio di indirizzamento privato

DMZ: I server Web sono la parte più vulnerabile di una rete. Essi tendono ad essere il naturale obiettivo di intrusioni da parte dei pirati informatici. È dunque una buona politica quella di isolare dalla rete privata aziendale i server che debbono rimanere accessibili dall'esterno: si potrà ottenere questo obiettivo creando una Dmz (De Militarized Zone -zona demilitarizzata). Al traffico di rete diretto verso i server presenti nella Dmz sarà proibito di raggiungere la vostra rete locale.

Per la casa e i piccoli uffici: I firewall sono una necessità anche per il segmento Soho (Home Office). Per la maggior parte dei piccoli uffici una soluzione firewall tradizionale risulterebbe costosa e richiederebbe l’intervento di competenze tecniche. Diversamente è per le case, dove è sempre più facile trovare due o tre Pc connessi in rete che condividono una connessione a Internet. Esistono alcune soluzioni adatte ad essere utilizzate anche da chi non è un professionista del settore, quella di adottare una soluzione hardware integrata, i cosiddetti firewall appliances..

Un firewall anche per il desktop E’ nata una nuova categoria di prodotti, quella dei personal firewall che operano direttamente sui sistemi desktop. Sono software indispensabili per chi dispone di una connessione a larga banda. Un'altra categoria di utenti per i quali un personal firewall è irrinunciabile è quella di chi si collega da remoto alla rete dell'ufficio tramite una Vpn. Se il loro sistema venisse compromesso da un hacker con un software la Vpn fornirebbe all'aggressore un canale di comunicazione per penetrare la rete aziendale.